Decyzją z dnia 11.01.2021 r. o znaku DKN.5130.2815.2020 PUODO stwierdził naruszenie przez spółkę z sektora medycznego przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „RODO”, które to w ocenie organu polegało na doborze przez Administratora nieskutecznych zabezpieczeń systemu informatycznego oraz zaniechania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem.
W szczególności organ zwrócił uwagę na brak mierzenia i testowania podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia. PUODO jednakże, zważywszy na okoliczności sprawy, udzielił spółce jedynie kary upomnienia.
Należy wskazać, że przedmiotowe naruszenie polegało na tym, iż niezidentyfikowana osoba trzecia pewnej kwietniowej nocy w 2020 r. dokonała przełamania wdrożonych w spółce z sektora medycznego zabezpieczeń, dzięki czemu uzyskała dostęp do systemu obsługiwanego przez tą spółkę. Kolejno, osoba ta dokonała szyfrowania danych.
Ww. działanie doprowadziło do pozbawieniu spółki dostępu do systemu i danych osobowych ok. 80.000 osób, w tym pracowników, klientów i pacjentów tamże się znajdujących. Naruszenie dotyczyło takich danych osobowych, jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. Spółka zgłosiła przedmiotowe zdarzenie do PUODO. Z uwagi na odzyskanie zaszyfrowanych danych nie stwierdziła wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Organ w uzasadnieniu wydanej decyzji wskazał, że jego zastrzeżenia budzi jakość przeprowadzanych przez spółkę testów w zakresie wprowadzonych w spółce zabezpieczeń oraz ich wąskiego zakresu, albowiem spółka dokonywała testów jedynie w odniesieniu do „wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie”. Ich rezultatem nie była bowiem wymiana tych systemów informatycznych, które utraciły wsparcie producenta, co, jak podnosi organ, w sposób znaczący spowodowało obniżenie poziomu bezpieczeństwa przetwarzanych przez Spółkę danych.
PUODO uznał, że przyjęte przez spółkę środki techniczne nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Jednakże pomimo uchybień wskazanych przez organ, z uwagi na czasokres naruszenia, a także fakt wdrożenia przez spółkę niezwłocznie działań minimalizujących ryzyko naruszenia w postaci:
a także z uwagi na fakt zgłoszenia naruszenia do PUODO oraz mając na uwadze fakt, że spółka od marca 2020 r. na mocy rozporządzenia Ministra Zdrowia z dnia 13 marca 2020 r., w chwili zaistnienia zdarzenia, nie świadczyła żadnych usług dla klientów oraz kuracjuszy, organ nadzorczy ograniczył się do upomnienia spółki.
Udzielając przedmiotowej kary administracyjnej, PUODO przypomniał, że w przypadku, gdyby scenariusz naruszenia miałby miejsce w przyszłości, to każde upomnienie wobec podmiotu będzie miało znaczenie w kontekście wymiaru kary administracyjnej, co wynika z zasad określonych w art. 83 ust. 2 RODO.
Czego uczy ta decyzja administracyjna w kontekście bieżących działań każdego Administratora?
Należy pamiętać o: